Som vi alle er smerteligt klar over, kommer IT-sikkerhed i mange former, lige fra tekniske detaljer til fysiske barrierer. Men et råd: Dobbeltkontrol af alle dine nye sikkerhedsforanstaltninger. Gå derefter tilbage og tænk igennem alt, hvad der kan relateres til de ændringer, du sætter på plads. Endelig skal du kontrollere, om også disse er sikret tilstrækkeligt.
Jeg arbejdede i et firma for nogle år siden, hvor jeg fik et kontor i nærheden af et serverrum. Ikke længe før havde IT-direktørerne bedt om at træffe foranstaltninger for bedre at sikre serverne.
Bekymringen opstod, fordi denne server lagrede data til en milliardoperation, der indeholdt følsomme oplysninger, som vi skulle bevare. De ville stramt kontrollere adgangen til rummet.
Sikkerhed først
IT-direktørerne havde udfyldt en formularanmodning med anlægstjenester for at fjerne nøgellåsen og installere en nummerkombinationslås. Kun nogle få udvalgte it-medarbejdere kender kombinationen for at åbne døren.
Planteserviceafdelingen gjorde nøjagtigt som fortalt: De trak den nøgledrevne lås ud og installerede en ny nummertastaturlås. Men da vi snart fandt ud af, så ingen på det færdige arbejde nøje.
Cirka seks måneder efter, at den nye lås blev installeret, mislykkedes A / C i serverrummet. Fordi mit kontor var tæt på, hørte jeg alarmen og ringede til min chef for at rapportere, hvad der foregik. Ikke længe efter dukkede servicepersonalet op og forsøgte at komme ind i lokalet, men de havde ikke fået koden eller nogen anden måde at åbne døren på. Jeg havde heller ikke.
Vi ringede til min chef og andre medarbejdere, som vi vidste havde koden, men ingen af dem besvarede deres kontortelefoner (dette var i dagene før mobiltelefoner var almindelige). Alarmerne blev ved med at klinge, og tiden fortsatte, og vi var nødt til at gøre noget.
Fejl bliver muligheder
Jeg kiggede nøje på døren, og et par detaljer dukkede ud. De løftede røde flag om rummets generelle sikkerhed, men gav mig ideer til, hvordan jeg kunne tage mig af det øjeblikkelige problem.
Først blev hængselstifterne eksponeret. En af vores muligheder var at køre hængselstifterne op og ud og fjerne døren.
For det andet og hurtigere og lettere til vores formål havde teknikerne, der installerede låsen, gjort nøjagtigt som ønsket og tilsyneladende ikke tænkt igennem situationen. De havde fjernet låsecylinderen og installeret tastaturet, men havde ikke udskiftet låsebolten - tastaturet var fastgjort til en lille håndtag, der gik ned for at trække den originale låsebolte tilbage. De havde heller ikke gidet at lappe eller tildække det udsatte område, der blev efterladt tilstrækkeligt: Du kunne stadig trække låsebolten tilbage ved at stikke en klædebøjler i, hvor låsecylinderen plejede at være.
Klimaanlægget fik fikset, og jeg advarede mine overordnede om, hvad vi havde opdaget. Det er overflødigt at sige, at det ikke tog lang tid, før IT-direktørerne implementerede yderligere ændringer af serverrumsdøren - under deres personlige tilsyn.
